S ecurit e des r eseaux sans l

Matthieu Herrb CNRS-LAAS matthieu.herrb@laas.fr Septembre 2003

SIARS Toulouse 2003

Plan

La technologie sans ls Faiblesses et Attaques Architecture S ecurisation des postes clients S ecurisation des points dacc` es Authentication des clients S ecurisation des echanges

SIARS Toulouse 2003

Introduction au Wi

Wireless Fidelity. Nouvelles familles de technologies pour la couche physique. Utilisent les ondes radio pour transporter le signal. Nom IEEE802.11 IEEE802.11b IEEE802.11g IEEE802.11a HomeRF HyperLAN Bluetooth (IEEE802.15) D ebit Max. 2Mb/s 11Mb/s 54Mb/s 54Mb/s 2Mb/s 54Mb/s 1Mb/s Fr eq. 2.4 GHz 2.4GHz 2.4GHz 5GHz ? 5GHz 2.4GHz Modulation FH DSSS OFDM OFDM ? OFDM ? Remarques

Interdit en Europe Utilise le DECT Standard Europ een Pas IP

Technique dacc` es : CSMA/CA (Collision Avoidance)

SIARS Toulouse 2003

Principe dun r eseau Wi

station mobile

Point dacces Reseau local filaire

SIARS Toulouse 2003

IEEE802.11b : canaux
5MHz Europe EtatsUnis, Canada Japon

2.400GHz

9 10 2.455GHz

11

12

13 14 2.480GHz

En France : r eglementation mise ` a jour en juillet 2003 : http://www.art-telecom.fr/communiques/communiques/2003/ index-c220703.htm http://www.art-telecom.fr/dossiers/rlan/puissances-2-4.htm

SIARS Toulouse 2003 4

IEEE802.11b : BSS

Basic Service Set Un ensemble de points dacc` es et les stations mobiles associ ees. SSID : identicateur de r eseau - cha ne de caract` eres. Pour joindre un r eseau Wi, une station doit conna tre le BSSID du r eseau. Facile : il peut etre broadcast e p eriodiquement par les points dacc` es. il sut d ecouter pour d ecouvrir les r eseaux disponibles. War Driving : cartographie des r eseaux Wi accessibles. (Avec un portable et un GPS). http://www.stumbler.net/index.php?cat=5 http://www.dachb0den.com/projects/dstumbler.html Un point dacc` es se comporte comme un HUB ecoute du trac possible.
SIARS Toulouse 2003 5

WEP

Wired Equivalent Privacy. M ecanisme de chirement du contenu des paquets Wi. Algorithme ` a cl e secr` ete : RC4 (40 ou 128 bits). Principe : un mot de passe est positionn e sur les points dacc` es et les stations mobiles. Sans le mot de passe, pas de communication. Probl` emes : interop erabilit e dicile entre impl ementations de Web (correspondance mot de passe / cl e, longueur des cl es). gestion des cl es : comment diuser la cl e WEP ` a tous les utilisateurs / visiteurs. Comment la changer p eriodiquement sur plusieurs points dacc` es et plusieurs stations ? faiblesses dans limpl ementation : crackage de la cl e possible en quelques minutes avec susamment de paquets captur es. http://www.dachb0den.com/projects/bsd-airtools.html
SIARS Toulouse 2003 6

Attaques et risques (1/2)

Internet

Attaquant

routeur

Point dacces

stations mobiles

Reseau local filaire

SIARS Toulouse 2003

Attaques et risques (2/2)

Point dacc` es Wi : enorme prise RJ 45 de 50m de diam` etre. d eborde du p erim` etre de s ecurit e physique en libre-service Attaques : D enis de service bande passante partag ee et limit ee d ebit utile limit e par la station la plus faible point(s) dacc` es parasite(s) Interception du trac m edia partag e attaque facile. snier passif arp poisoning Utilisation non autoris ee Voir war-driving ci-dessus,... installation de bornes non autoris ees : renforcent limpact des probl` emes ci-dessus.

SIARS Toulouse 2003

S ecurisation : architecture

Internet

routeur

Point dacces

stations mobiles

Reseau local filaire

SIARS Toulouse 2003

S ecurisation des postes sans l

Buts : emp echer les acc` es non autoris es s ecuriser les connexions Moyens : outils pour la s ecurit e locale : mises ` a jour, anti-virus, conguration rigoureuse, ltre de paquets, etc. protocoles de transport s ecuris es : SSH, SSL, IPsec Si le mobile ne change jamais de r eseau : xer le SSID ( eviter lutilisation de ANY) utiliser une entr ee statique dans la table ARP pour le routeur

SIARS Toulouse 2003

10

S ecurit e des points dacc` es

Restreindre lacc` es aux interfaces dadministration : autoriser ladministration uniquement depuis le r eseau laire positionner un mot de passe dadministration restreindre les acc` es SNMP Activer les logs : utiliser la possibilit e denvoyer les logs vers un syslog ext erieur utiliser les trap SNMP surveiller les connexions - rep erer les connexions non autoris ees Autres (pas tr` es ecace mais augmente un peu la s ecurit e malgr e tout) : activer le WEP ltrage par adresse MAC supprimer les broadcast SSID

SIARS Toulouse 2003

11

Authentication : portail

Solution la plus simple ` a mettre en oeuvre Principe : aecter aux utilisateurs non authenti es une adresse IP dans un r eseau non routable ou une passerelle sp ecique. Apr` es authentication, param` etres normaux. Exemples dimpl ementation : NoCatAuth http://nocat.net/ OpenBSD authpf http://www.openbsd.org/faq/pf/authpf.html Probl` emes : ne g` ere pas le chirement potentiellement contournable (car bas e uniquement sur les adresses IP). Possibilit e de compl eter par IPsec entre le routeur et les stations mobiles.

SIARS Toulouse 2003

12

Authentication et chirement niveau 2

Solution g en erale aux probl` emes de s ecurit e sur les r eseaux publics : authentication et chirement au niveau 2 : IEEE 802.1X & Co. Domaine qui evolue vite en ce moment (2003) : Portail HTTP / SSH LEAP (Cisco + Microsoft) IEEE 802.1X WPA (Wi Protected Access) IEEE 802.11i (int egr e dans 802.11g) Principe : Syst` emes de niveau 2. Authentication entre le point dacc` es et le client. bas es sur le protocole dauthentication EAP utilisent un serveur Radius permettent la n egociation des cl es WEP Impl ementation de IEEE802.1X pour Unix : Open1x http://open1x.sourceforge.net/

SIARS Toulouse 2003

13

Authentication : LEAP, 802.1X, WPA, 802.11i

Point dacces

1 4 5

2 3

serveur radius

1. Le poste non authenti e arrive sur un point dacc` es. Pr esente sa demande dauthentication 2. Le point dacc` es v erie lauthentication vis-` a-vis dun serveur (EAP) 3. Le serveur valide lauthentication. 4. Le point dacc` es ouvre le r eseau au niveau 2. 5. La station mobile peut communiquer ` a travers le point dacc` es.

SIARS Toulouse 2003

14

Conclusion

Les r eseaux sans l sont l` a pour durer. Ils sont d ej` a largement d eploy es. La technologie evolue rapidement. Il faut les prendre en compte pour assurer la s ecurit e de nos syst` emes.

SIARS Toulouse 2003

15

Bibliographie

802.11 Security, B.Potter & B. Fleck, OReilly, D ecembre 2002. S ecurit e des r eseaux sans le 802.11b, Herv e Schauer, mars 2002 http: //www.hsc.fr/ressources/presentations/asprom02/index.html.en S ecurit e Informatique num ero 40, Juin 2002, http://www.cnrs.fr/Infosecu/num40-sansFond.pdf D eploiement & s ecurit e des r eseaux sans l (802.11b), D. Azuelos, Mai 2003 http: //www.urec.cnrs.fr/securite/CNRS/vCARS/DOCUMENTS/Azuelos.pdf Recommandation du CERT-A, aou t 2002 http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002.pdf

SIARS Toulouse 2003

16